» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 觉得“主动防御”是无稽之谈的来讨论！    13   2/2   <   1   2  作者: 标题: 觉得“主动防御”是无稽之谈的来讨论！ 微点专家 版主 Weizi 积分 11554 发帖 11458 注册 2006-8-27 来自 贵阳 #11   在很久很久以前           电脑会中病毒                          也是无稽之谈 ※ ※ ※ 本文纯属【微点专家】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做个性的自己 2006-9-10 11:14 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #12     Quote: Originally posted by FlowerCode at 2006-9-10 10:31: 需要注意的是，卡巴斯基6.0将主动防御作为一种“缓冲手段”，只寄希望于在更新病毒库前抵挡病毒一个小时。它不会因为一个程序修改了注册表的键值，挂了钩子，安了服务，加载了驱动就直接TerminateProcess并且DeleteFile 它要做的和SSM一样，告诉你“某某程序正试图做某某事，这是某某类危险程序的典型行为，允许吗？” 其实这种辅助防御很有用。例如新版灰鸽子可能会过卡巴斯基的文件扫描，但是它需要打开IE以便绕过防火墙，还需要隐藏进程，这时主动防御就大显身手了。 Warning:Hidden Object 最后说一下，瑞星和江民你需要手动脱壳（可以看AVP6的报告，它脱壳就像浏览目录似的），然后再扫描。 呵呵，我个人认为卡巴这类的“辅助探测”方式，特别不适合初级用户使用，试问哪个初级用户能理解提示上的若干种报警所蕴含的实际意义？ 相对来说，微点的人机交互就要好一些，微点可以准确判断的，就明确提示是什么病毒。可疑的部分，给用户的提示也比较明确，删除或是不删除。实际应用的时候，可以建议初级用户，为了安全起见一律删除，如果发觉影响正常使用了，到隔离区进行恢复就ok了。 还有一点，我和FlowerCode朋友的看法不太一样，关于AVP像浏览目录似的这种操作，我觉得是在解析复合文件格式，而不是脱壳。呵呵，具体我也不太懂，请懂行的朋友帮助讲一下，谢谢。 [ Last edited by nasdaq on 2006-9-10 at 15:53 ] ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-10 12:15 flo 注册用户 积分 168 发帖 168 注册 2006-8-17 #13     Quote: Originally posted by nasdaq at 2006-9-10 12:15: 呵呵，我个人认为卡巴这类的“辅助探测”方式，特别不适合初级用户使用，试问哪个初级用户能理解提示上的若干种报警所蕴含的实际意义？ 相对来说，微点的人机交互就要好一些，微点可以准确判断的，就明确提 ... 对于观点一，我完全同意，所以卡巴安装时要求选择是否启用“程序行为分析”，即基本模式和扩展模式的选择。这也是微点这个尝试的意义。 对于脱壳么，杀软的脱壳和我们一般说的脱壳还是有很大区别的。毕竟杀软不是要把程序还原成原来的样子，只需要部分地还原就可以了。只是，KAV6的引擎架构极好，所以会给人像在浏览文件夹的感觉。（在其日志里，若扫描一个文件X:\a.exe，如果被加NSPack，它会显示X:\a.exe/NSPack扫描，如果还有加壳，继续加参数...） ※ ※ ※ 本文纯属【flo】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-10 12:38  13   2/2   <   1   2  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号